Compartilhar via

Utilizar políticas de acesso para exigir a aprovação de vários administradores

Para ajudar a proteger contra uma conta administrativa comprometida, utilize Microsoft Intune políticas de acesso para exigir que uma segunda conta administrativa aprove uma alteração antes de a alteração ser aplicada. Esta capacidade é conhecida como Aprovação multi Administração.

Ao utilizar a Aprovação multi Administração, pode configurar políticas de acesso que protegem configurações específicas, como Aplicações ou Scripts para dispositivos. As políticas de acesso especificam o que está protegido e que grupo de contas pode aprovar alterações a esses recursos.

Quando utiliza qualquer conta no inquilino para efetuar uma alteração a um recurso protegido por uma política de acesso, Intune não aplica a alteração até que uma conta diferente a aprove explicitamente. Apenas os administradores que sejam membros de um grupo de aprovação a que uma política de proteção de acesso atribua um recurso protegido podem aprovar alterações. Os aprovadores também podem rejeitar pedidos de alteração.

Intune suporta políticas de acesso para os seguintes recursos:

  • Aplicações – aplica-se a implementações de aplicações, mas não se aplica a políticas de proteção de aplicações.
  • Políticas de conformidade – aplica-se à criação e gestão de políticas de conformidade.
  • Políticas de configuração – aplica-se à criação e gestão de políticas através do catálogo de definições.
  • Ações do dispositivo – aplica-se a ações de eliminação, extinção e eliminação de dispositivos.
  • Controlo de acesso baseado em funções – aplica-se a alterações a funções, incluindo modificações a permissões de funções, grupos de administradores ou atribuições de grupos de membros.
  • Scripts – aplica-se à implementação de scripts em dispositivos com o Windows.
  • Políticas de Acesso – aplica-se à criação ou gestão de várias políticas de aprovação administrativa.
  • Configuração do Inquilino – aplica-se à gestão de categorias de dispositivos, incluindo a criação, edição ou eliminação das mesmas.

Pré-requisitos para políticas de acesso e aprovadores

Para utilizar a Aprovação multi Administração, o inquilino tem de ter, pelo menos, duas contas de administrador. O fluxo de trabalho do MAA tem três funções distintas, cada uma com requisitos de permissão diferentes:

Licenciamento de administrador

Por predefinição, os administradores que participam no fluxo de trabalho do MAA têm de ter uma licença Intune atribuída à respetiva conta. Para permitir que os administradores não licenciados participem no fluxo de trabalho do MAA, ative a definição Permitir acesso a administradores não licenciados .

Cuidado

Esta definição é irreversível. Depois de ativada, não pode desativá-la. Certifique-se de que a sua organização compreende esta limitação antes de continuar.

Antes de ativar esta definição, reveja Administradores não licenciados para obter limites importantes e detalhes de comportamento, incluindo limites de associação a grupos e quanto tempo as alterações de acesso demoram a entrar em vigor.

Função 1: Gestor de políticas de acesso

Para criar e gerir políticas de acesso, utilize uma conta com uma das seguintes opções:

  • Função de Intune personalizada (recomendado): utilize uma função personalizada que inclua as seguintes permissões de Aprovação multi Administração:

    Permissão Descrição
    Criar política de acesso Criar novas políticas de acesso do MAA
    Ler política de acesso Ver políticas de acesso do MAA existentes
    Atualizar política de acesso Modificar as políticas de acesso do MAA existentes
    Eliminar política de acesso Remover políticas de acesso do MAA

  • Intune Administrador (também conhecido como Administrador de Serviços do Intune): esta função de Microsoft Entra fornece acesso de leitura/escrita completo aos Intune. Uma vez que é uma função privilegiada, a Microsoft recomenda a utilização de uma função de Intune personalizada com menos privilégios para a gestão de políticas de acesso rotineiro em vez desta função. Para saber mais, veja Microsoft Entra funções incorporadas - Intune Administrador.

Função 2: Aprovador

Para aprovar ou rejeitar pedidos MAA submetidos por outros administradores, uma conta tem de cumprir todos os seguintes requisitos:

  1. Associação ao grupo aprovador: a conta tem de ser um membro do grupo de aprovadores atribuído à política de acesso para o tipo de recurso específico.

  2. Intune permissão de função: a conta tem de ter as permissões de Leitura específicas do recurso para o tipo de política que estão a aprovar.

  3. Atribuição de função RBAC para o grupo: o próprio grupo de segurança do aprovador tem de ser adicionado como um grupo de membros a, pelo menos, um Intune atribuição de função. Se o grupo de aprovadores não for adicionado a uma atribuição de função, os membros do grupo de aprovadores são removidos periodicamente do grupo.

    Importante

    O grupo de aprovadores tem dois requisitos:

    • Tem de ser um grupo de segurança. As listas de distribuição, os grupos do Microsoft 365 e os grupos de segurança com capacidade de correio não são suportados e falham silenciosamente resolve associação ao aprovador.
    • Tem de ser atribuída diretamente a uma função de Intune como um grupo de membros. Intune permissões de função detidas por membros individuais, seja através de outros grupos ou atribuições diretas de utilizadores, não satisfazem este requisito.

Função 3: Pedir alterações

Para submeter pedidos de alteração e concluir as alterações aprovadas para recursos protegidos, um administrador precisa das permissões RBAC de Intune padrão para a ação específica que está a executar. A mesma conta executa ambos os passos : submeter o pedido inicial e selecionar Concluir após aprovação por outro administrador. Por exemplo, MobileApps/Create para criar uma aplicação ou RemoteTasks/Wipe para apagar um dispositivo.

Observação

  • Um administrador não pode aprovar os seus próprios pedidos, mesmo que seja membro do grupo de aprovadores. Um administrador diferente tem de aprovar o pedido.
  • As alterações submetidas por uma conta de Administrador Global ou administrador Intune ainda têm de ser aprovadas por um administrador diferente.

Como funcionam as políticas de Aprovação e Acesso multi Administração

Quando um administrador edita ou cria um novo objeto para uma área protegida por uma política de acesso, vê uma opção na superfície Guardar + Rever , onde pode introduzir uma descrição da alteração como justificação comercial.

  • A justificação comercial torna-se parte do pedido de aprovação para a alteração.
  • Um administrador que submeteu uma alteração pode ver a status dos pedidos no centro de administração do Microsoft Intune ao aceder a Administração de inquilinos Aprovação>multi Administração e visualizar a página Os meus pedidos.

Depois de uma alteração ser submetida, um aprovador pode navegar para a página Todos os pedidos do nó Aprovação multi Administração ou aceder a Administração> de inquilinos Administração Tarefas para gerir os pedidos. Ambas as localizações fornecem a lista de pedidos que estão ativos ou geridos recentemente. Esta vista fornece alguns detalhes sobre o pedido, incluindo quando e quem o submeteu, o tipo de operação envolvida, como Criar ou Atribuir, e o respetivo status. Para gerir o pedido:

  • O aprovador seleciona a ligação Justificação comercial para o pedido. Esta ação abre o painel Pedido de política de acesso onde pode ver mais informações sobre a alteração, incluindo os detalhes completos fornecidos no campo Justificação comercial do pedido.
  • No painel Pedido de política de acesso, o aprovador pode introduzir notas no campo Notas do Aprovador e, em seguida, selecionar uma opção para Aprovar pedido ou Rejeitar pedido. Estas notas são adicionadas ao pedido e são visíveis para o indivíduo que pediu a alteração quando revê os pedidos na página Os meus pedidos . Por exemplo, se o pedido for rejeitado, o motivo da rejeição pode ser repercutido no requerente através das notas do Aprovador.
  • Os indivíduos que submetem um pedido e também são membros do grupo de aprovação para os quais podem ver os seus próprios pedidos na página Todos os pedidos. No entanto, não podem aprovar os seus próprios pedidos.

Se uma alteração for aprovada, Intune processa a alteração pedida e atualiza o objeto. Enquanto Intune processa o pedido, o respetivo status pode ser apresentado como Aprovado. O requerente original tem de ver o pedido e selecionar Concluir para iniciar a alteração. Depois de ser processada com êxito, o status atualizações para Concluído.

Se um pedido não for processado mais dentro de 3 dias, este será Expirado e terá de ser novamente submetido. Cada alteração de status permanece visível até 30 dias após a alteração do status.

Criar uma política de acesso

  1. Inicie sessão no centro de administração do Microsoft Intune, aceda a Administração> deinquilinos Políticas> de Acesso deAprovação> multi Administração selecione Criar.

  2. Em Noções Básicas, introduza um Nome e uma Descrição opcional. Em Tipo de perfil, selecione uma das opções disponíveis. Cada política suporta um único tipo de perfil.

  3. Em Aprovadores, selecione Adicionar grupos e, em seguida, selecione um grupo como o grupo de aprovadores para esta política. As configurações mais complexas que excluem grupos não são suportadas.

  4. Em Rever + Criar, reveja e, em seguida, guarde as alterações.

  5. Em seguida, utilize uma conta administrativa separada com a permissão Aprovação para Aprovação multi Administração para iniciar sessão no centro de administração para rever e aprovar a nova política de acesso.

  6. Volte a iniciar sessão no centro de administração com a primeira conta de administrador que criou a política de acesso, veja a política e finalize-a ao selecionar Concluir. Depois de Intune aplicar esta política, as configurações para o tipo de perfil protegido requerem várias aprovações de administrador.

Submeter um pedido

Para submeter um pedido quando a Aprovação multi Administração estiver ativada, utilize o processo normal para criar ou editar um recurso.

Na página final antes de poder guardar as alterações, adicione detalhes ao campo Justificação comercial e, em seguida, submeta o pedido. Para pedidos urgentes, considere contactar uma lista conhecida de aprovadores para garantir que o seu pedido é visto atempadamente.

Quando um pedido para o mesmo objeto já está pendente de aprovação, não pode submeter o seu pedido. Intune apresenta uma mensagem para alertá-lo para esta situação.

Para monitorizar a status dos seus pedidos, no centro de administração do Microsoft Intune, aceda a Administração de inquilinos Aprovação>>Multi AdministraçãoOs meus pedidos.

Pode cancelar um pedido antes de ser aprovado ao selecioná-lo na página Os meus pedidos e, em seguida, selecionar Cancelar pedido.

Aprovar pedidos

  1. Para encontrar pedidos de aprovação, no centro de administração do Microsoft Intune, aceda a Administração de inquilinosPedidos deAprovação>> Multi Administração Recebidos.

  2. Selecione a ligação Justificação comercial para um pedido para abrir a página de revisão, onde pode saber mais sobre o pedido e gerir a aprovação ou rejeição.

  3. Depois de rever os detalhes, introduza os detalhes relevantes no campo Notas do Aprovador e, em seguida, selecione Aprovar pedido ou Rejeitar pedido.

  4. Depois de aprovar um pedido, o requerente tem de selecionar Concluir. Intune processa a alteração e altera o status para Concluído. Verifique se a aprovação foi bem-sucedida (ou falhou) ao rever a notificação da consola após a conclusão.

    Para verificar se a aprovação foi bem-sucedida (ou falhou), veja as notificações no centro de administração do Intune. Uma mensagem mostra se a aprovação foi concluída com êxito ou falhou.

Dica

Também pode gerir estas tarefas a partir do painel de tarefas Administração centralizado no centro de administração do Intune.

Mais considerações

  • Intune não envia notificações quando são criados novos pedidos ou o status de um pedido existente é alterado. Quando submeter um pedido de alteração urgente, contacte as pessoas com permissão para aprovar esses pedidos.

  • Monitorize a status dos seus pedidos através da página Os meus pedidos do nó Aprovação multi Administração no centro de administração do Intune.

  • Quando uma aprovação já está pendente para um objeto, não pode submeter um novo pedido para o mesmo.

  • Todas as ações de um recurso protegido estão protegidas, incluindo, entre outros:

    • Editar
    • Criar
    • Modificar
    • Excluir
    • Atribuir

  • Intune registos de auditoria registam ações para pedidos e o processo de aprovação. Para obter mais informações, veja Registos de auditoria para atividades de Intune.

  • As seguintes condições de status estão disponíveis para um pedido:

    • Precisa de aprovação – este pedido está pendente de uma ação por parte de um aprovador.
    • Aprovado – este pedido está a ser processado por Intune.
    • Concluído – este pedido foi aplicado com êxito.
    • Rejeitado – este pedido foi rejeitado por um aprovador.
    • Cancelado – este pedido foi cancelado pelo administrador que o submeteu.

  • Tenha cuidado ao criar uma política de acesso para o tipo de política Função . Este tipo de política protege todas as alterações relacionadas com funções, incluindo a criação, atualização e eliminação de funções RBAC e atribuições de funções. Uma vez ativas, qualquer tentativa de modificar funções, incluindo as atribuições RBAC necessárias pelo próprio MAA, precisa primeiro da aprovação do MAA. Este requisito pode criar uma situação de impasse em que não pode configurar as atribuições RBAC necessárias para o MAA funcionar.

    Se ocorrer este impasse:

    1. Aceda a Administração> deinquilinos Políticas de Acesso deAprovação> multi Administração.
    2. Localize e elimine a política de acesso configurada para o tipo de política Função .
    3. Aguarde 3 a 5 minutos para que a alteração se propague.
    4. Aceda aFunções de administração> de inquilinos e conclua as atribuições de funções RBAC necessárias, adicionando o grupo de aprovadores a uma atribuição de função.
    5. Depois de o RBAC estar configurado corretamente, pode recriar a política de acesso de Função, se assim o desejar.

    Para evitar este problema, configure todas as outras políticas de acesso do MAA e verifique se as atribuições RBAC estão corretas antes de ativar uma política de acesso para o tipo de política Função .

Conteúdo relacionado

Gerir o controlo de acesso baseado em funções

  • Last updated on